Bài viết này chúng ta cũng tìm hiểu về Group Policy là gì? Group Policy Object (GPO) là gì? GPO hoạt động như thế nào? và ứng dụng của GPO trên Active Directory (AD)?
1. Group Policy là gì?
Group Policy là tập hợp các quy định nhằm kiểm soát môi trường làm việc của user và máy tính. Group Policy cho phép sự quản lý và cấu hình các hệ điều hành, các ứng dụng và các thiết lập của user trong môi trường Domain. Nói cách khác, Group Policy một phần nào đó kiểm soát được user có thể làm gì và không được làm gì trên hệ thống máy tính.
2. Group Policy Object (GPO) là gì?
Group Policy Object là một Group Policy cụ thể, có tên riêng của nó và gồm một hay nhiều thiết lập (setting) được chọn và cấu hình.
Ví dụ: Để tạo một chính sách là không cho user vào control panel, ta tạo một Group Policy Object đặt tên là Cấm Control Panel và enable setting Prohibit access to the Control Panel
3. Tính kế thừa của Group Policy Object
Tính kế thừa của Group Policy Object là các OU con tự động liên kết và áp dụng các Group Policy Object đã được tạo ra và liên kết trong các OU cha. Đây là thuộc tính của OU.
Chúng ta có thể chặn tính kế thừa này bằng cách vào tab Group policy của OU properties, đặt dấu chọn trước Block Policy inheritance.
Chặn tính kế thừa không có tính chọn lọc, nghĩa là chặn hết mọi Group Policy Object của đối tượng cha truyền xuống.
4. Thứ tự các Group Policy Object được áp dụng
Khi máy khởi động, Local Computer Policy áp đặt lên máy trước. Sau khi màn hình logon xuất hiện và user logon vào máy thì những GPO của Site, Domain, OU cha, OU con áp đặt tiếp lên máy theo trình tự:
Site policies -> Domain policies -> OU cha policies -> OU con policies
Theo trình tự thông thường policy áp sau cùng sẽ là policy “mạnh” nhất. Trình tự này được áp dụng để giải quyết khi có sự xung đột giữa các policy.
5. Làm sao để GPO của đối tượng cha (Domain hoặc OU) dù có xung đột cũng áp đặt cho các đối tượng con?
Các GPO có thuộc tính No-Override (không cho bỏ qua), mặc định là Disable. Khi enable thuộc tính này cho một GPO, các đối tượng con không thể nào bỏ qua GPO này được hoặc bằng cách Block hoặc bằng cách xung đột policy với đối tượng cha.
6. Cấu hình để GPO không áp dụng cho một user (hoặc Computer)
Miễn trừ áp dụng GPO cho một user trong một OU (hay miễn trừ máy tính) được gọi là filter. Để filter cần phải thay đổi phân quyền trên GPO. Mặc định là mọi users và computers có phân quyền Allow Read và Allow Apply Group Policy Object. Phân quyền lại cho user hay computer được miễn trừ Deny Apply Group Policy Object.
7. Một số ứng dụng của GPO
a. Deploy Software
Ta có thể dùng GPO để cài software tự động cho User/Computer
Ưu điểm:
- Tự động cài đặt, và hoặc tự động gỡ bỏ.
- Tự động cài lại khi software bị hỏng
Điều kiện:
- Software phải có file mô tả cài đặt (*.msi,*.mst,*.zap).
- User tối thiểu phải có quyền Read trên folder chứa software gốc.
- Một số software khi cài cho User đòi hỏi user phải có quyền Local Admin. Có thể thay bằng khai báo thêm trong Registry…
Các cơ chế cài:
- Publish: Cơ chế này chỉ có trong phần User Configuration. Khi ta publish một ứng dụng, user cần phải vào Control Panel -> Click vào Add Or Remove Programes để tiến hành cài đặt.
- Assign: Đều có trong User Configuration và Computer Configuration. Ứng dụng sẽ được cài đặt khi user đăng nhập (cấu hình trong User Configuration) hoặc sẽ được cài đặt khi restart lại máy (cấu hình trong Computer Configuration).
- Advanced: Có cả Publish và Assign như trên nhưng kèm thêm nhiều sự lựa chọn khác như khi một tài khoản user hay computer ra ngoài phạm vi quản lý của GPO thì xử lý như thế nào – có gỡ chương trình đó ra khỏi máy hay không hay phần mềm được nâng cấp như thế nào…
b. Folder Redirection
Folder redirection là một GPO chuyển một số folder của user về cất trên server thay vì cất tại local.
Khi cấu hình, phải dùng đường dẫn UNC để chỉ tới share folder.
Folder redirection chỉ có trong phần User Configuration. Khi cấu hình có hai option để lựa chọn: Basic và Advanced.
- Basic: Chỉ để cho tạo một share folder chung cho mọi users trong đó mỗi user có một folder riêng.
- Advanced: Cho tạo nhiều share folder khác nhau theo group.
c. Scripts trong GPO
Scripts trong GPO chính là GPO quy định thời điểm để thực thi các file có sẵn. Các thời điểm thực thi như sau:
- Trong Computer Configuration: Shutdown và Startup
- Trong User Configuration: Logon và Logoff
Nếu Bạn thấy nội dung này có giá trị, hãy mời Mình một ly cà phê nhé!
Xin chào các Bạn, Mình là Đăng Lê, đang làm việc trong lĩnh vực CNTT. Mình là người yêu thích viết blog, đang cố gắng để trở thành một blogger chuyên nghiệp. Với blog thuvienhay.com, Mình mong muốn được chia sẻ những kiến thức, kinh nghiệm đến với mọi người.
Mong các bạn hãy theo dõi và ủng hộ blog thuvienhay.com. Chân thành cảm ơn!